Quelques jours après l’attaque ayant visé les serveurs de messagerie du ministère de l’Intérieur, une revendication est apparue sur le forum clandestin BreachForums. Publiée sous le pseudonyme “Indra”, elle évoque une compromission étendue des systèmes et la menace de divulgation de données sensibles. Des affirmations qui interviennent alors que les autorités françaises poursuivent leurs investigations et que les zones d’ombre restent nombreuses.
Une revendication difficile à vérifier
La revendication, apparue samedi 13 décembre sur BreachForums avant d’être partiellement supprimée, fait état d’une “compromission complète” du ministère et d’un ultimatum en vue de négociations. Les auteurs affirment avoir eu accès à des fichiers de police et à des volumes importants de données. À ce stade, ces éléments n’ont pas été corroborés par des preuves techniques indépendantes accessibles publiquement.
Dans une analyse relayée sur LinkedIn, l’expert en cybersécurité Clément Domingo souligne que le groupe ShinyHunters, dont plusieurs membres ont été arrêtés en France en juin 2025, s’est publiquement désolidarisé de cette attaque. Le groupe à l’origine de la revendication resterait donc inconnu, malgré une rhétorique laissant entendre une action de représailles.
Ce que confirme le ministère de l’Intérieur
Sur le plan institutionnel, le ministère de l’Intérieur a reconnu des “activités suspectes” visant ses serveurs de messagerie. Le ministre Laurent Nuñez a confirmé qu’une cyberattaque avait bien eu lieu, précisant que des accès à des boîtes mail professionnelles avaient été identifiés. Il a toutefois indiqué qu’aucun élément ne permettait, à ce stade, de conclure à une compromission grave ou massive des données, les investigations étant toujours en cours.
Ces déclarations rejoignent les informations publiées par plusieurs médias spécialisés, selon lesquelles des identifiants compromis auraient pu permettre un accès indirect à certains applicatifs métiers, sans que l’ampleur exacte de ces accès ne soit encore établie.
Un courriel usurpé, pas une compromission directe
Parmi les éléments ayant attiré l’attention de la communauté cyber figure l’envoi d’un courriel annonçant la réouverture de BreachForums, présenté comme émis depuis une adresse en “@interieur.gouv.fr”. Nos confrères de BleepingComputer, qui ont relayé les analyses techniques disponibles, indiquent que ce message ne semble pas avoir été envoyé depuis l’infrastructure du ministère, mais via un service tiers d’envoi d’e-mails, en l’occurrence Amazon Simple Email Service.
Cette configuration suggère une usurpation d’identité numérique plutôt qu’un accès direct aux serveurs de messagerie de l’État, une hypothèse cohérente avec une politique DMARC non bloquante, qui peut permettre ce type de spoofing.
Une présence prolongée dans le réseau ?
Si les autorités restent prudentes dans leur communication, certains éléments divulgués par les attaquants laissent entendre une intrusion de longue durée. Clément Domingo évoque la possibilité que les cybercriminels aient pu rester plusieurs semaines au sein du réseau du ministère, avec des capacités d’observation, de déplacement latéral et d’extraction de données avant d’être détectés et stoppés.
Les attaquants affirment notamment avoir accédé à des fichiers sensibles tels que le TAJ ou le FPR, portant potentiellement sur des millions de personnes.
Une affaire encore loin d’être close
Entre revendications spectaculaires et communication institutionnelle mesurée, l’écart reste important. Comme le soulignent plusieurs médias spécialisés internationaux, dont BleepingComputer, l’origine exacte de l’attaque, ses motivations réelles, cybercriminelles, politiques ou hybrides, et son impact opérationnel restent à déterminer.
